背景：

攻防演練過程中，攻擊者千方百計使用各種方法滲透目標(biāo)。一般情況下攻擊鏈包括：偵察、武器化、交付、利用、安裝、命令和控制、竊取目標(biāo)數(shù)據(jù)。在溯源中，安全人員對攻擊者某個階段的攻擊特點進(jìn)行分析，再結(jié)合已掌握的威脅情報數(shù)據(jù)將攻擊特點和數(shù)據(jù)聚類，能夠有效掌握攻擊者的攻擊手法和 IP 、域名資產(chǎn)等。

目標(biāo)：

掌握攻擊者的攻擊手法（例如：特定木馬、武器投遞方法）；
掌握攻擊者的 IP域名資產(chǎn)（例如：木馬 C2、木馬存放站點、資產(chǎn)特點）；
掌握攻擊者的虛擬身份、身份；
掌握攻擊者武器的檢測或發(fā)現(xiàn)方法，將捕獲的數(shù)據(jù)形成新的線索。

方法論：

針對交付、利用、安裝、命令和控制四個階段捕獲到的數(shù)據(jù)做深度分析，聚類提取數(shù)據(jù)特點形成規(guī)則。將規(guī)則應(yīng)用于一些安全設(shè)備產(chǎn)出高可信度的告警用于防御，或者結(jié)合情報數(shù)據(jù)（如樣本信息、域名信息、IP 信息等），將深度溯源的情報（如身份信息、攻擊隊伍等）產(chǎn)出。

環(huán)境搭建資料+工具包+全套視頻?

1.?攻擊鏈部分可溯源的關(guān)鍵點：

2.?攻擊鏈利用階段可溯源的方法及利用點：

攻擊回溯的關(guān)鍵點主要分為兩類:

攻擊分類：根據(jù)攻擊者的漏洞利用數(shù)據(jù)包特點（如：字符串格式、特殊字符串）。
攻擊者信息：攻擊者使用其公司（個人）特有的漏洞利用工具時，可能會在請求包中存在公司（個人）信息。

3.?釣魚郵件可溯源方法及關(guān)鍵點：

發(fā)件 IP、發(fā)件賬號、郵件內(nèi)容（格式特點等）可用于將攻擊者投遞的郵件分類；

發(fā)件賬號中可能存在個人信息，如：“賬號@qq.com”、“昵稱@gmail.com” 等此類字符串，檢索該字符串可用于挖掘身份信息；

郵件內(nèi)容大致可分以下三類：

投遞物（后門木馬、其他攻擊組件）

釣魚網(wǎng)站，包含域名、IP 等信息

其他，需要研究郵件中的字符串，郵件可能存在攻擊者的其他賬號（在真實場景中出現(xiàn)過）發(fā)件 IP、發(fā)件服務(wù)器，屬攻擊者資產(chǎn)。

4.?后門木馬可溯源方法及關(guān)鍵點：

代碼邏輯，由于人的惰性，紅隊開發(fā)者可能會復(fù)用以前的一些代碼。如代碼特點比較明顯，可用于分類和拓線。

字符串特點，用于將紅隊投遞的樣本分類和拓線更多的樣本，將檢索到的樣本再進(jìn)行分析，分析歷史樣本（如測試階段的樣本）看是否會暴露出更多信息。

元數(shù)據(jù)（投遞的誘餌不同，得到的元數(shù)據(jù)不同。誘餌類型包括：LNK、EXE、DOCX等）。

EXE 文件：存在 PDB 信息，部分開發(fā)人員將項目存放在桌面，這會導(dǎo)致編譯信息帶入開發(fā)人員的終端名稱（極大可能為個人昵稱）。

LNK 文件：由于 LNK 文件在新建的時候會帶入計算機(jī)名稱，這可以用于樣本的拓線和分類，極少情況下可找到個人昵稱。

DOCX 文件：可能存在“最后編輯者名稱”。

回連 C2，屬攻擊者資產(chǎn)。

5.?攻擊者資產(chǎn)維度可溯源方法及關(guān)鍵點:

域名自身特點，如：昵稱字符串

搭建網(wǎng)站（通過圖中四種方法探測資產(chǎn)的現(xiàn)有數(shù)據(jù)和歷史數(shù)據(jù)）

1. 網(wǎng)站可能存在紅隊的其他攻擊組件

2. 網(wǎng)站存在個人昵稱、簡介等

3. 網(wǎng)站備案信息

Whois 信息，可能包含：注冊者郵箱、電話號碼等

IP 信息需要考慮如下兩點：

1. 是否定位到某個安全公司的地理位置

2. 是否標(biāo)記為某個安全公司的網(wǎng)關(guān)

6.命令和控制階段可產(chǎn)生的數(shù)據(jù)

用于防御，將掌握的流量規(guī)則部署在安全設(shè)備中積累數(shù)據(jù)，掌握更多的木馬、資產(chǎn)，支撐上述中的各種溯源方法

7.身份信息溯源方向：

虛擬身份

攻擊者資產(chǎn)暴露的信息，如：Whois 信息、個人網(wǎng)站簡介、GitHub 個人簡介

樣本暴露的信息，如：PDB 信息、個人昵稱、存放特馬的 Github 賬號

蜜罐捕獲，如：百度 ID、新浪 ID 等

利用密碼找回功能，如：阿里云IP找回、騰訊密碼找回、郵箱密碼找回

身份

社交平臺（如百度貼吧、QQ 空間、新浪微博等）暴露真實姓名、手機(jī)號碼

支付寶轉(zhuǎn)賬功能，搜索郵箱、手機(jī)號

已知的線索（郵箱、QQ、昵稱等）在招聘網(wǎng)站搜索

利用搜索引擎，如：手機(jī)號和真實姓名存放一起的 XXX 學(xué)校表格

公司信息

IP資產(chǎn)定位、域名 Whois 信息

特有漏洞利用工具暴露的信息，如：User Agent、Cookie、Payload

社交平臺，如：釘釘、企業(yè)微信等

攻擊者個人簡歷中的工作經(jīng)歷

環(huán)境搭建資料+工具包+全套視頻?

流程：

1.針對ip通過開源情報+開放端口分析查詢

可利用網(wǎng)站：

https://x.threatbook.cn/（主要）

https://ti.qianxin.com/

https://ti.#/（主要）

https://www.venuseye.com.cn/

https://community.riskiq.com/

當(dāng)發(fā)現(xiàn)某些IP的攻擊后，可以嘗試通過此IP去溯源攻擊者

首先通過http://www.ipip.net網(wǎng)站或者其他接口，查詢此IP為IDC的IP、CDN的IP還是普通運營商的出口IP。

如果IP反查到域名就可以去站長之家對其進(jìn)行whois反查或者去https://whois.domaintools.com/等網(wǎng)站去查詢域名的注冊信息、http://whoissoft.com/查詢備案信息等。

端口：可查看開放服務(wù)進(jìn)行進(jìn)一步利用

可考慮使用masscan快速查看開放端口：

masscan?-p 1-65535 ip --rate=500

再通過nmap 對開放端口進(jìn)行識別

nmap?-p 3389,3306,6378 -Pn IP

發(fā)現(xiàn)相關(guān)有用端口，進(jìn)行端口相關(guān)漏洞的挖掘及利用。

2.ip查詢定位

ip定位工具：

高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx

rtbasia（IP查詢）：https://ip.rtbasia.com/

ipplus360（IP查詢）：https://www.ipplus360.com/

IP地址查詢在線工具：https://tool.lu/ip/

在通過IP定位技術(shù)溯源過程，應(yīng)注意以下情況：

假如IP反查到的域名過多，考慮就是CDN了，就沒必要繼續(xù)去查了。

假如是普通運營商的出口IP只能使用一些高精度IP定位工具粗略估計攻擊者的地址，如果需要具體定位到人，則需要更多的信息。

3.?ID跟蹤、得到常用id信息收集

在通過IP定位后技術(shù)追蹤攻擊者，可通過指紋庫、社工庫等或其他技術(shù)手段抓取到攻擊者的微博賬號、百度ID等信息，一般通過以下技術(shù)手段實現(xiàn)：

進(jìn)行QQ等同名方式去搜索、進(jìn)行論壇等同名方式搜索、社工庫匹配等。

如ID是郵箱，則通過社工庫匹配密碼、以往注冊信息等。

如ID是手機(jī)號，則通過手機(jī)號搜索相關(guān)注冊信息，以及手機(jī)號使用者姓名等。

其他方法：

(1) 百度信息收集：“id” （雙引號為英文）

(2) 谷歌信息收集

(3) src信息收集（各大src排行榜）

(4) 微博搜索（如果發(fā)現(xiàn)有微博記錄，可使用tg查詢weibo泄露數(shù)據(jù)）

(5) 微信ID收集：微信進(jìn)行ID搜索（直接發(fā)釘釘群一起查）

(6) 如果獲得手機(jī)號（可直接搜索支付寶、社交賬戶等）

注意：獲取手機(jī)號如果自己查到的信息不多，直接上報釘釘群（利用共享渠道對其進(jìn)行二次社工）

• 豆瓣/貼吧/知乎/脈脈 你能知道的所有社交平臺，進(jìn)行信息收集

例如，當(dāng)通過ID追蹤技術(shù)手段定位到某攻擊者的QQ號、QQ網(wǎng)名等信息，通過專業(yè)社工庫可以進(jìn)一步追蹤攻擊者使用的QQ號注冊過的其它網(wǎng)絡(luò)ID，從而獲取更多攻擊者信息，從而確定攻擊者的身份。

注意：手機(jī)號、昵稱ID均為重點數(shù)據(jù)，如查不到太多信息，直接上報指揮部。

4.預(yù)警設(shè)備信息取證

上方數(shù)據(jù)一無所獲，可考慮對其發(fā)起攻擊的行為進(jìn)行篩查，嘗試判斷其是否有指紋特征。

攻擊者如果在攻擊過程中對攻擊目標(biāo)上傳攻擊程序（如釣魚軟件），可通過對攻擊者上傳的惡意程序進(jìn)行分析，并結(jié)合IP定位、ID追蹤等技術(shù)手段對攻擊進(jìn)行分析溯源，常用的惡意程序分析網(wǎng)站有：

? 微步在線云沙箱：https://s.threatbook.cn/

? Virustotal：https://www.virustotal.com/gui/home/upload

? 火眼（https://fireeye.ijinshan.com）

? Anubis（http://anubis.iseclab.org）

? joe（http://www.joesecurity.org）

5.跳板機(jī)信息收集(觸發(fā))

進(jìn)入紅隊跳板機(jī)查詢相關(guān)信息，如果主機(jī)桌面沒有敏感信息，可針對下列文件進(jìn)行收集信息。

Last: 查看登錄成功日志

Cat ~/.bash_history ???查看操作指令

Ps -aux ??查看進(jìn)程

Cat /etc/passwd

查看是否有類似ID的用戶

重點關(guān)注uid為500以上的登錄用戶

nologin為不可登錄

環(huán)境搭建資料+工具包+全套視頻?